Определение границ толерантности к риску и зон приемлемости

20 минут Урок 5

Введение: Иллюзия нулевого риска

Добро пожаловать на один из самых концептуально сложных, но критически важных уроков нашего курса. Прежде чем мы начнем чертить линии на матрице, давайте договоримся об одной фундаментальной истине: нулевого риска не существует. Если вы ведете бизнес, вы рискуете. Если вы просто встали с кровати, вы уже подверглись вероятностным угрозам.

Многие компании попадают в ловушку, пытаясь «устранить все риски». Это не только невозможно, но и экономически губительно. Стоимость устранения последнего 1% риска часто превышает стоимость всех предыдущих 99%. Поэтому задача риск-менеджера — не быть «Доктором Нет», который запрещает всё опасное, а стать архитектором, который четко очерчивает границы дозволенного.

В этом уроке мы разберем, где именно проходят эти границы. Мы научимся отличать аппетит от толерантности (спойлер: это разные вещи, хотя их часто путают) и построим зоны приемлемости, которые превратят вашу матрицу из красивой картинки в инструмент принятия решений.

Фундаментальная триада: Емкость, Толерантность, Аппетит

Чтобы определить границы на матрице, нужно разобраться с тремя понятиями, которые образуют иерархию ограничений организации. Представьте себе автомобиль, едущий по шоссе.

Емкость риска (Risk Capacity): Это технический предел. Максимальная скорость, которую может развить двигатель до того, как взорвется (или максимальный убыток, который компания может понести, не обанкротившись мгновенно). Это «физика» вашего бизнеса. Выход за эту границу означает смерть организации.
Толерантность к риску (Risk Tolerance): Это «красная зона» на тахометре. Двигатель может там работать, но недолго и с последствиями. В бизнесе это диапазон отклонений от целей, который мы вынуждены терпеть в конкретных обстоятельствах, но который нам не нравится. Это тактический уровень.
Риск-аппетит (Risk Appetite): Это крейсерская скорость, которую выбрал водитель. Ему комфортно, он контролирует ситуацию, и эта скорость позволяет ему доехать до цели вовремя. Это стратегическое решение Совета директоров: сколько риска мы хотим взять, чтобы получить желаемую прибыль.

Почему это важно для матрицы?
Ваша матрица рисков — это визуализация этих трех слоев. Зеленая зона — это область внутри риск-аппетита. Желтая/Оранжевая — зона толерантности, где требуется контроль. Красная — зона, приближающаяся к емкости риска, где работа запрещена.

Архитектура зон: Светофор и принцип ALARP

Когда мы переходим к практической разметке матрицы (например, классической 5x5), нам нужно раскрасить ячейки. Но как понять, где заканчивается зеленый и начинается желтый?

В международной практике (ISO 31000, COSO) часто используется принцип ALARP (As Low As Reasonably Practicable) — «Настолько низко, насколько это разумно достижимо». Этот принцип делит рисковое пространство на три ключевые зоны:

Зона	Характеристика	Действие
Неприемлемая область (Красная)	Риск превышает толерантность. Угроза существованию или критическим процессам.	STOP WORK. Деятельность должна быть остановлена или изменена немедленно. Снижение риска обязательно любой ценой.
Зона ALARP (Желтая / Оранжевая)	Риск выше аппетита, но ниже критической толерантности. Мы можем с этим жить, но только если затраты на снижение риска непропорционально высоки по сравнению с выгодой.	Мониторинг и оптимизация. Риск допустим, только если доказано, что дальнейшее снижение экономически нецелесообразно.
Широко приемлемая область (Зеленая)	Риск находится в пределах аппетита. Уровень повседневных «фоновых» рисков.	Принятие. Дополнительные меры контроля не требуются, достаточно стандартных процедур.

Ваша задача как методолога — перевести эти качественные описания в координаты матрицы. Например, событие с вероятностью «Возможно» (3) и ущербом «Средний» (3) — это ALARP или уже Неприемлемо? Ответ зависит от специфики отрасли. Для атомной станции это, безусловно, «Красная зона». Для стартапа в фазе гиперроста — возможно, «Зеленая».

Упражнение

Кейс: «Границы дозволенного» Вы консультируете финтех-компанию «PayFast», которая запускает новый продукт — мгновенные кредиты. Совет директоров озвучил две установки: 1. «Мы хотим захватить 20% рынка за год». 2. «Мы не можем допустить потерю лицензии ЦБ РФ». Вам нужно определить границы для риска «Мошенничество с верификацией пользователей». Задание: Сформулируйте для этого риска: - Уровень Риск-аппетита (что компания готова принять ради захвата рынка?). - Уровень Толерантности (где проходит граница «больно, но терпим»?). - Уровень Емкости риска (где наступает конец бизнеса?). Дайте ответ в конкретных метриках (например, % мошеннических транзакций).

Решение:

Решение и логика рассуждений:

1. Емкость риска (Risk Capacity):
Это жесткий предел. Потеря лицензии — это смерть бизнеса. Если ЦБ РФ отзывает лицензию при превышении уровня подозрительных операций в 5% от оборота, то 5% — это абсолютная емкость. Приближение к этой цифре недопустимо.

2. Толерантность к риску (Risk Tolerance):
Это операционный лимит. Чтобы не попасть под удар регулятора (5%), компания устанавливает внутренний «буфер». Например, 3% мошеннических операций. Если уровень фрода достигает 3%, включается режим ЧП, останавливается выдача кредитов, пересматриваются алгоритмы. Это «желтая/оранжевая» зона. Мы не хотим здесь быть, но при запуске нового продукта кратковременные скачки возможны.

3. Риск-аппетит (Risk Appetite):
Ради захвата 20% рынка компания готова сделать процесс регистрации очень простым (меньше проверок — выше конверсия, но и выше риск). Совет директоров решает: «Мы готовы списывать в убыток 1.5% выдач как фрод, это плата за скорость роста». Это «зеленая» зона. Пока потери ниже 1.5%, никто не паникует, это плановая себестоимость риска.

Итого:
- Зеленая зона (Аппетит): < 1.5%
- Желтая зона (ALARP): 1.5% – 3%
- Красная зона (Неприемлемо): > 3%

Квантификация границ: От ощущений к цифрам

Самая большая ошибка при построении матрицы — оставлять границы размытыми словами «существенный» или «значительный». Чтобы матрица работала, границы зон должны быть оцифрованы.

Как провести демаркацию?

Возьмем ось «Воздействие» (Impact). Вам нужно установить финансовые пороги для каждой категории.

Катастрофический (5): > 10% EBITDA (или сумма, ведущая к ковенантному дефолту).
Критический (4): 5% - 10% EBITDA.
Средний (3): 1% - 5% EBITDA.
Незначительный (2): 0.1% - 1% EBITDA.
Пренебрежимый (1): < 0.1% EBITDA.

Теперь наложим это на матрицу. Где пройдет граница толерантности? Обычно она проходит по диагонали или ступенчато.

Пример логики для установки границы Красной зоны:
Если событие нанесет ущерб > 10% EBITDA (Уровень 5), то даже при самой низкой вероятности (Уровень 1 — раз в 10 лет) это может быть неприемлемо для консервативной компании. Значит, ячейка (1;5) окрашивается в красный.
Однако для агрессивной компании ячейка (1;5) может быть желтой: «Раз в 10 лет мы переживем такой удар, у нас есть резервный фонд».

Важный нюанс: Границы толерантности не статичны. Они могут меняться в зависимости от внешнего контекста (кризис, пандемия) или финансового здоровья компании. То, что вчера было «зеленым» риском, сегодня, при кассовом разрыве, может стать «красным».

Психология и культурные барьеры

Определить границы математически — это только полдела. Вторая половина — заставить людей в них поверить. Часто бывает так: в документах написано, что риск с ущербом выше 1 млн рублей недопустим, но менеджер проекта, видя потенциальный риск в 2 млн, ставит ему статус «Средний», чтобы не эскалировать проблему наверх и не «тормозить проект».

Это явление называется оптимистическим смещением (Optimism Bias) или страхом плохих новостей.

Как с этим бороться через дизайн матрицы?

Четкие критерии, а не ощущения. Вместо «Высокий ущерб» пишите в подсказке к ячейке: «Ущерб > $50k или остановка сервиса > 4 часов». Это убирает возможность для интерпретации.
Автоматическая эскалация. Если риск попадает в Красную зону, система должна автоматически уведомлять Риск-комитет. Это снимает психологический груз с сотрудника: «Я не ябедник, это процесс такой».
Легализация Желтой зоны. Сотрудники должны понимать, что наличие рисков в желтой зоне (ALARP) — это нормально. Это не значит, что они плохие работники. Это значит, что процессом нужно управлять. Если наказывать за любой риск, матрица станет «зеленой» (фиктивной).

Упражнение

Практическое упражнение: Настройка матрицы Представьте матрицу 5x5 (Ось X: Вероятность 1-5, Ось Y: Ущерб 1-5). Всего в матрице 25 ячеек. Произведение Вероятности и Ущерба дает рейтинг риска (Risk Score) от 1 до 25. Ваша задача — установить пороги (Thresholds) для трех зон: - Зеленая (Низкий риск) - Желтая (Средний риск) - Красная (Высокий риск) Используйте классический подход умножения (Probability * Impact). Вопросы: 1. Какой диапазон баллов вы отнесете к Зеленой зоне? 2. Какой к Красной? 3. В чем проблема использования простого умножения (например, почему риск 1x5 = 5 баллов может быть опаснее, чем 5x1 = 5 баллов)?

Решение:

Пример распределения (один из вариантов):

1. Зеленая зона: 1 - 4 балла.
Сюда попадают риски (1x1, 1x2, 2x1, 1x3, 3x1, 2x2, 1x4, 4x1).

2. Желтая зона: 5 - 12 баллов.
Сюда попадают риски средней тяжести (например, 2x3, 3x3, 4x2).

3. Красная зона: 15 - 25 баллов.
Это область высоких значений (3x5, 4x4, 5x3 и т.д.).

Ответ на вопрос 3 (Проблема симметрии):
Главный подвох метода умножения в том, что он считает риски (1 вероятность * 5 ущерб) и (5 вероятность * 1 ущерб) равнозначными (5 баллов). 

Однако в реальности:
- Риск 5x1 (Почти гарантированное событие с копеечным ущербом) — это операционная рутина, расходы на которую просто закладываются в бюджет.
- Риск 1x5 (Крайне редкое событие с катастрофическим ущербом) — это «Черный лебедь», который может убить компанию.

Поэтому при определении границ толерантности часто используют **асимметричный подход**: ячейкам с Ущербом 5 присваивается статус «Красный» или «Оранжевый» принудительно, независимо от низкой вероятности. Толерантность к катастрофическому ущербу обычно близка к нулю.

Вопрос

Компания установила, что любой риск, способный привести к травме сотрудника, попадает в Красную зону, независимо от стоимости мероприятий по его устранению. Какой принцип определения границ здесь применен?

Cost-Benefit Analysis (Анализ затрат и выгод)

Zero Tolerance (Нулевая толерантность к определенным видам ущерба)

Risk Appetite Maximization (Максимизация аппетита)

ALARP (As Low As Reasonably Practicable)

Pareto Principle (Принцип Парето)

Предыдущий урок Следующий урок